Етичко хаковање
From Wikipedia, the free encyclopedia
Remove ads
Етички хакери (енгл. ) су експерти у области информационих технологија, који се баве испитивањем сигурности рачунарских система. Термин 「етички хакери」 описује хакере који покушавају да оштете, измене, прикрију, или на други начин учине неупотребљивим рачунарски програм, не би ли помогли власницима програма да постану свесни незаштићености својих података и сигурносних пропуста.
У настојању да реше проблем упадања у системе, правне установе су дошле до закључка да је најбоље претходно проверити опасност да се тако нешто деси, тако што ће ангажовати експерта из области рачунарства који ће то да уради за њих.
У току провере сигурности рачунарских система, етички хакери користе исте технике и методе као и потенцијални нападачи, али за разлику од њих не користе податке које приликом напада открију, већ процењују сигурност система и извештавају власника о откривеним пропустима. Етички хакери затим саветују власнике шта треба да промене да би систем био безбеднији.
Термин који се најчешће користи да опише етичког хакера јесте 「white hat hacker」[1]. Овај термин води порекло из вестерн филмова где 「добри момци」 носе беле шешире, а 「лоши момци」 црне. Још неки од назива за етичке хакере су: 「penetration tester」, 「red teams」 и 「tiger teams」.[2]
Remove ads
Историја
Прво деловање етичких хакера на испитивању сигурности компјутерских система, забележено је 1970. године. Влада САД упослила је групу компјутерских стручњака, тада названу 「црвени тимови」, за хаковање сопствених компјутерских система.
Од тада па до данас, етичко хаковање постало је интегрални део индустрије информационих технологија. Данас је уобичајена пракса многих компанија, унајмљивање или формирање тимова етичких хакера.
Remove ads
Карактеристике етичких хакера
Етички хакери пре свега треба да буду особе од поверења.
Искуство: важно је искуство хакера у раду са рачунарима и рачунарским мрежама, искуство у програмирању, као и познавање рада на различитим оперативним системима.
Стрпљивост: етички хакер треба да се понаша исто као и злонамерни хакер. Дешава се да хакери некада данима, па и месецима надгледају систем пре него што се одлуче да га нападну.
- Некада се веровало да су најбољи етички хакери особе које су некада биле хакери. Иако су неки стручњаци износили агрументе да само хакери који су се бавили тим послом знају како да посао етичког хакера успешно обаве, правило о апсолутном поверењу елиминише такве кандидате.
- Најбољи кандидати за етичке хакере јесу особе које имају успешно објављене научне радове у поменутим областима, које добро познају области сигурности, или особе које су програмирале познате сигурносне пакете са отвореним кодом.
Remove ads
Услови
Када клијент жели да заштити систем, пре тога потребно је одговорити на нека кључна питања која су поставили Гарфинкел и Спафорд:
- Шта покушавате да заштитите?
- Од чега желите да се заштитите?
- Колико сте времена, труда и новца спремни да потрошите како би добили одговарајућу заштиту?
Потребно је саставити план за идентификацију система који ће бити испитиван, начин испитивања, и сва могућа ограничења испитивања.
Такође, потребно је саставити уговор између клијента и етичког хакера. Тај уговор, познат под називом 「карта за излазак из затвора」 (енгл. ) штити етичке хакере од кривичног гоњења, пошто су активности које они објављују при процени сигурности, нелегалне у већини земаља.
Уговор треба да садржи прецизан опис испитивања, у облику мрежних адреса или приступних бројева модема система које треба испитивати.
Прецизност је у овој фази изузетно важна, пошто мала грешка може да доведе до евалуације погрешног клијентовог система, или у најгорем случају евалуације система неке друге фирме.[3]
Испитивање могућности пробоја
Фазе од којих је сачињен уобичајени хакерски напад на рачунарску мрежу су:
- Извиђање
- Пописивање
- Добијање приступа
- Проширивање овлашћења
- Поткрадање
- Прикривање трагова
- Прављење задњих врата
- Ускраћивање услуга
Испитивање могућности пробоја (engl. penetration testing) – јесте метод оцењивања и провере сигурности рачунарских мрежа симулацијом напада који би обавио злонамерни хакер.[4][5]
Обухвата активну анализу у погледу слабости, техничких недостатака и рањивости система.
Анализа се изводи из позиције потенцијалног нападача – особа која обавља испитивање себе смешта у позицију нападача и покушава да продре у мрежу и на тај начин открије рањивост.
Све што се открије током ове анализе, излаже се власницима система и заједно са њима долази до закључка колику би штету донело откривање пронађених информација, и које су најбоље мере заштите које треба преузети да се подаци сачувају.
Remove ads
Сертификати
Етички хакери могу бити и сертификовани, након успешно положеног испита, након обуке у акредитованом центру за обуку.[6]
Правне и етичке (моралне) норме
Законска регулатива досегла је највиши ниво у САД: Ово су само неки од закона који регулишу рад етичких хакера у Америци:
- U.S. Code of Fair Information Practices (1973)
- Computer Fraud and Abuse Act (CFAA, 1973)
- Graham-Leach-Bliley Act (GLBA, 2000)
- USA Patriot Act (2001)
- Federal Information Security Management Act (FISMA, 2002)
- Sarbanes-Oxley Act (SOX, 2003)
Познати етички хакери
Неки од најпознатијих светских етичких хакера су:
- Стив Вознијак (енгл. ) је амерички рачунарски инжењер и саоснивач компаније Епл заједно са Стивом Џобсом. Најпознатији је по дизајнирању и изради прототипова рачунара, практично без ичије помоћи.
- Тим Бернерс Ли (енгл. ) је изумитељ World Wide Web-a и челник World Wide Web Consortium-a.
- Линус Торвалдс (енгл. ) је познат по својој улози у развоју Линукса
- Ричард Столман (енгл. ) је амерички информатичар и политички активиста, познат као оснивач покрета за слободни софтвер.
Remove ads
Филмови
Неки од најпознатијих филмова који говоре о хакерима и етичким хакерима налазе се на следећој листи:
Види још
Референце
Литература
Спољашње везе
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads